BIJNAAM: Zero-Click iMessage Exploit richt zich op belangrijke cijfers in de VS en EU

De NICKNAME-ontdekking van iVerify onthult een zero-click iMessage-lek dat werd uitgebuit in gerichte aanvallen op hooggeplaatste personen in de VS en EU, waaronder politici, mediadeskundigen en leidinggevenden van AI-bedrijven.

iVerify, een toonaangevend platform voor mobiele EDR-beveiliging, heeft de ontdekking onthuld van een tot nu toe onbekende zero-click-kwetsbaarheid in Apples iMessage-dienst. Deze kwetsbaarheid, genaamd NICKNAME, kan een iPhone infecteren zonder enige gebruikersinteractie en lijkt deel uit te maken van een geavanceerde mobiele spywarecampagne, mogelijk gesteund door China, die zich richt op belangrijke personen in de VS en Europa.

Volgens het rapport van iVerify, dat is gedeeld met Hackread.com, observeerden ze eind 2024 en begin 2025 ongebruikelijke activiteit op iPhones van prominente entiteiten in de VS en de Europese Unie. Dit omvatte zeldzame crashes die slechts 0,0001% van de crashlogs van een steekproef van 50.000 iPhones uitmaakten, typisch voor geavanceerde zero-click iMessage-aanvallen .

Door forensische analyse werd de NICKNAME-kwetsbaarheid ontdekt op apparaten van hooggeplaatste personen die van belang zijn voor de Chinese Communistische Partij (CCP). Deze doelwitten omvatten politici, mediaprofessionals en leidinggevenden van bedrijven die zich bezighouden met kunstmatige intelligentie (AI). Opvallend is dat sommige getroffen personen eerder al doelwit waren van Salt Typhoon , een bekende cyberaanval.

De exploit maakt gebruik van een zwakte in het imagent -proces op iPhones, waarvan wordt aangenomen dat deze wordt geactiveerd door een snelle reeks nickname-updates die via iMessage worden verzonden. Deze actie resulteert in geheugencorruptie na gebruik, waardoor aanvallers de controle kunnen overnemen.

Het zeer diepgaande technische onderzoek van iVerify heeft zes apparaten geïdentificeerd waarvan wordt aangenomen dat ze het doelwit waren, waarvan er vier een duidelijke NICKNAME-signatuur vertoonden en twee op succesvolle exploitatie wezen. Deze slachtoffers hadden consistente banden met activiteiten die van belang waren voor de CCP, zoals eerdere aanvallen door Salt Typhoon, zakelijke transacties die in strijd waren met de belangen van de CCP, of activisme tegen het regime.

Hoewel Apple een patch voor deze kwetsbaarheid heeft uitgebracht in iOS 18.3.1 , waarschuwt iVerify dat NICKNAME mogelijk slechts één onderdeel is van een grotere, actieve exploitketen. Het bedrijf benadrukt de dringende noodzaak voor organisaties, waaronder overheidsinstanties, om hun mobiele beveiligingsmodellen aan te passen om deze geavanceerde, moderne bedreigingen tegen te gaan.

De directe toeschrijving aan de CCP is niet definitief bewezen, maar de indirecte gegevens zijn overtuigend. Bovendien, volgens iVerify, ondersteunt bewijs van onafhankelijke iOS-beveiligingsexperts, waaronder Patrick Wardle van de Objective-By-The-Sea Foundation, dat mobiele aanvallen een reële bedreiging vormen in de VS.

Deze ontdekking is belangrijk omdat het mogelijk de eerste systematische detectie is van zero-click-exploitatie van iMessage in de Verenigde Staten. Dergelijke aanvallen zijn bijzonder gevaarlijk omdat ze zelfs zeer veilige berichtenapps zoals Signal omzeilen.

Zodra een apparaat is gecompromitteerd, worden alle privégesprekken en gegevens, ongeacht de gebruikte applicatie, toegankelijk voor aanvallers. Dit is met name belangrijk gezien gebeurtenissen zoals SignalGate , die aantonen dat geen enkel communicatiekanaal echt privé is als het is gecompromitteerd.